内存取证CTF-Memlabs靶场6

已于 2022-02-01 12:17:43 修改
阅读量1k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: 网络安全 渗透测试 靶机
于 2022-02-01 12:14:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/122763412
版权

1.挑战说明

我们从情报局收到了这个内存转储。 他们说这个证据可能包含黑帮大卫本杰明的一些秘密。这个内存转储是从本周早些时候被 FBI 逮捕的他的一名员工那里获取的。你的工作是通过内存转储,看看你是否能找出一些东西。FBI还表示,大卫通过互联网与他的工人交流,因此这可能是一个很好的起点。

注意:此挑战由 1 个标志组成,分为 2 个部分。

本实验的标志格式为: inctf{s0me_l33t_Str1ng}

靶场地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%206

2.Flag后半段

2.1 获取镜像操作系统

得到操作系统版本为Win7SP1x64

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw imageinfo

2.2 查看cmd输出

找到一个敏感文件flag.rar

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 cmdline

2.3 文件提取进行转储

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 filescan |grep flag.rar
vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000005fcfc4b0 -D ../memlabs/lab6
mv file.None.0xfffffa800138d750.dat flag.rar

2.4 尝试访问flag.rar

需要密码进行解压,我们先放到一边,找一下密码的线索

2.5 环境变量中寻找rar密码

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 envars -p 3716

使用envars寻找WinRAR.exe的变量,在Variable变量中找到RAR password,其值为:easypeasyvirus

2.6 使用密码成功解压缩

2.7 获取Flag2

拿到了Flag2的内容:aN_Am4zINg_!_i_gU3Ss???_}

3.Flag前半段

3.1 读取Chrome浏览器历史记录

找到链接https://pastebin.com/RSGSi1hk

vol.py --plugins=./plugins -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 chromehistory > ../memlabs/lab6/chrome.txt

3.2 提示中给出了一个google文档

并且提示我们密钥就在邮件中

https://www.google.com/url?q=https://docs.google.com/document/d/1lptcksPt1l_w7Y29V4o6vkEnHToAPqiCkgNNZfS9rCk/edit?usp%3Dsharing&sa=D&source=hangouts&ust=1566208765722000&usg=AFQjCNHXd6Ck6F22MNQEsxdZo21JayPKug

3.3 在文档中找到一个网盘链接

https://mega.nz/#!SrxQxYTQ

3.4 打开网盘需要密钥

3.5 搜索镜像中带有Mega字符的ASCII文本

strings -n 500 ../memlabs/lab6/MemoryDump_Lab6.raw|grep Mega

密钥值为:THE KEY IS zyWxCjCYYSEMA-hZe552qWVXiPwa5TecODbjnsscMIU

3.6 尝试打开图片

怀疑图片可能损坏,无法正常访问

3.7 在检查PNG规范后,发现标题处有问题

3.8 修改69为49,并进行保存

3.9 获取Flag

Flag前半段值为:inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_

3.10 全部Flag

结合前后半段Flag,最终值为:inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_aN_Am4zINg_!_i_gU3Ss???_}

KALC
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Memlab,一款分析 JavaScript 堆并查找浏览器和 Node.js 中内存泄漏的开源框架
o__cc的博客
09-16 922
Memlab 是一款 E2E 测试和分析框架,用于发现 JavaScript 内存泄漏和优化机会。 Memlab 是 JavaScript 的内存测试框架。它支持定义一个测试场景(使用 Puppeteer API),教 Memlab 如何与您的单页应用程序(SPA)交互,Memlab 可以自动处理其余的内存泄漏检查: 与浏览器交互并获取 JavaScript 堆快照 分析堆快照并过滤掉内存泄...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
内存取证系列6
SwBack的博客
11-23 533
发现ie浏览器,WinRAR,cmd.exe,chrome.exe,firefox.exe,通过匹配firefox chrome数据 环境变量 文件等,都未找到密码。本次做题收获:收获总是会有的,比如markDown 用的越来越熟练。此挑战由 1 个标志组成,分为 2 个部分。
MemLab:用于查找JavaScript内存泄漏的开源框架
寒冰屋的专栏
01-13 662
​ 2020年,我们将Facebook.com重新设计为单页应用程序(SPA),它使用客户端JavaScript完成大部分渲染和导航。我们使用类似的架构来构建Meta的大多数其他流行网络应用,包括Instagram和Workplace。 ​
CTF刷题笔记 - misc方向 - 电子取证 内存分析_ctf 镜像恶意进程分析(1)
最新发布
2401_84281748的博客
05-12 715
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
探索 MemLab:Facebook 的内存诊断工具
gitblog_00045的博客
03-21 311
探索 MemLab:Facebook 的内存诊断工具 项目地址:https://gitcode.com/facebook/memlab 项目简介 MemLab 是 Facebook 开源的一个强大的 C++ 内存调试和性能分析工具。它旨在帮助开发者检测内存泄漏、无效引用、过度分配等常见的内存管理问题,从而提升软件的稳定性和效率。通过 MemLab,你可以更深入地理解你的代码在运行时如何管理内存,找...
数字取证学习之内存取证CTF解题实例
一位热爱网安的年轻人的博客
11-19 1846
数字取证内存取证CTF解题案例
探秘PyTorch MemLab:优化深度学习内存管理的利器
gitblog_00061的博客
04-25 378
探秘PyTorch MemLab:优化深度学习内存管理的利器 项目地址:https://gitcode.com/Stonesjtu/pytorch_memlab 简介 在深度学习领域,PyTorch以其灵活性和易用性深受广大开发者喜爱。然而,在处理大型模型或数据集时,内存管理往往成为性能瓶颈。为了解决这个问题,我们向您推荐一款强大的开源工具——PyTorch MemLab。它是一个专为PyT...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-all-in-one
01-30
ctf-all-in-one
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
CTF-陇剑杯之内存分析-虚拟机内存取证1
08-03
本文将详细介绍内存分析工具Volatility以及如何在虚拟机环境中进行内存取证。 Volatility是一款强大的开源内存取证框架,它由Python编写,具有高度的可扩展性和跨平台性。Volatility支持包括Windows、Mac和Linux...
探索 MemLabs:一款创新的内存安全学习与实验平台
gitblog_00034的博客
03-25 336
探索 MemLabs:一款创新的内存安全学习与实验平台 项目地址:https://gitcode.com/stuxnet999/MemLabs 项目简介 MemLabs 是一个开源项目,由开发者 stuxnet999 创建,旨在提供一个互动的学习环境,帮助技术爱好者和专业人员深入理解内存安全概念并进行实践操作。通过一系列精心设计的实验室,用户可以逐步了解内存漏洞、缓冲区溢出等常见问题,并学会如何...
一文讲述内存取证的数据保存、数据分析、CTF实战案例
dzqxwzoe的博客
08-26 636
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
CTF刷题笔记 - misc方向 - 电子取证/内存分析
m0_62652276的博客
12-31 2548
DPAPI技术是Windows提供的一种数据保护API,它本质上使用了Windows通过用户自己登录(sids,登录密码等),以及域登录后的一些数据生成的密钥,并且使用内置的算法,对用户指定的数据进行加密。对采用DPAPI技术加密的数据进行解密,需要获取当前操作系统登录用户对应的 Master Key,而获取 MasterKey 需要知道用户名、密码以及对应的SID,然后利用这些数据生成一个 blob 加密过程中使用的 MasterKey,从而对目标blob进行解密。
内存取证CTF-Memlabs靶场5
qq_42947816的博客
02-01 1286
MemLabs 是一组具有教育意义的介绍性 CTF 式挑战,旨在鼓励学生、安全研究人员以及 CTF 玩家开始使用内存取证领域。
CTF取证技术实战,图片、文件、流等相关内容的取证技术
Scalzdp的专栏
10-25 1736
取证技术在我们安全工作中非常重要,我们可以通过已经产生的流量、日志、文件等信息发现安全存在的蛛丝马迹。通过取证技术的应用,安全工作者可以明确系统存在的漏洞,以及都是谁在系统中做了什么事,其价值和意义对个人、企业、国家而言都是非常重要的。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值